信息安全技术 工业控制系统风险评估实施指南-编制说明

PAGE6PAGE工作简况1.标准制定背景随着信息化技术的发展，国内冶金、电力、石化、水处理、铁路、航空和食品加工等行业的工业控制自动化系统得到了广泛的应用，在工业中使用的控制系统包括SCADA系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)系统等，这些我们统称为工控系统(ICS)。工业控制系统指应用于工业控制领域的数据采集、监视与控制系统，是由计算机设备、工业过程控制组件和网络组成的控制系统，工业控制系统是工业领域的神经中枢。在发达国家或地区，都把工业控制系统安全作为信息安全保障的一个相对独立的体系进行建设，其安全性将直接关系到国家重要基础工业设施生产的正常运行和广大公众的利益。鉴于工业控制在我国工业领域中的重要地位，国家标准化委员会信息安全标准化分会，决定制定一套适用于我国国情的工业控制系统安全防护标准体系。本标准在对工业控制系统的资产进行整理分析的基础上，从其资产的安全特性出发，分析工业控制系统的威胁来源与自身脆弱性，归纳出工业控制系统面临的信息安全风险，并给出实施工业控制系统风险评估的指导性建议。随着工业控制系统安全防护技术的发展，标准编制组将不断补充和完善工业控制系统安全防护体系的相关标准文件。拥有工业控制系统的各大工业行业可依据上述国家标准指引，研究制定本行业工业控制系统安全标准。2.任务来源根据国家标准化委员会2014年12月下达的标准制修订计划，国家标准《工业控制系统安全风险评估实施指南》由国家信息技术安全研究中心、中国电力科学研究院、中国电子技术标准化研究院和无锡市同威科技有限公司等单位负责起草。项目编号为2014bzzd-WG5-002。3.主要起草人序号姓名证件类型证件号码工作单位刘鸿运身份家信息技术安全研究中心葛培勤身份家信息技术安全研究中心方进社身份家信息技术安全研究中心庞宁身份家信息技术安全研究中心詹雄身份国电力科学研究院赵婷身份国电力科学研究院梁潇身份国电力科学研究院徐克超身份国电子技术标准化研究院周睿康身份国电子技术标准化研究院蔡磊身份国电子技术标准化研究院王永忠身份锡市同威科技有限公司标准草案编制过程1、2014年12月-2015年6月：联系各个参与单位成立标准工作组，工作组研究了已有相关法律法规、政策、文件、标准等，形成标准草案。标准工作组骨干技术力量，对现有国内外工控安全相关文件进行了深入研究分析，包括：1）IEC62443系列标准IEC62443是专门针对工业自动化和工业安全的系列标准。该系列标准，旨在使系统集成商、产品供应商和服务提供商，可以通过使用该标准来评估他们的产品和服务，并依据评估结果判断其产品或服务是否能够为工控系统使用者提供有效的安全防护。该标准目前分为通用技术、信息安全程序、系统技术和部件技术4个部分，共包含了12个文档，每个文档详细描述了工控系统信息安全的不同方面。NISTSP800-82标准NISTSP800-82为保障监控与数据采集系统(SupervisoryControlAndDataAcquisition,SCADA)、分布式控制系统(DistributedControlSystem,DCS)等工控系统信息安全提供指南。它概述了工控系统的系统拓扑结构，指出了对于这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的安全对策。同时，根据工控系统的潜在安全隐患，以及安全隐患影响水平的不同，指出了保障工控系统信息安全的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的工控系统。其他文件美国《联邦信息系统安全与隐私控制措施》（NISTSP800-53）、《联邦信息安全管理法》（2002年）、美国国土安全总统令HSPD-7（2003年）、《美国国家基础设施保护计划》（2006年）等。标准工作组对国内外相关文件的研究，在此基础上起草了《工业控制系统安全风险评估实施指南》初稿。标准编制组召开内部专家评审标准草案。2、2015年6月-2016年6月，参加安标委年度标准检查会议。2015年6月，在安标委年度标准检查会议上，标准工作组向安标委专家汇报了《信息安全技术工业控制系统风险评估实施指南》标准研制进展和研制成果，听取了专家的意见和建议。2015年7月-2016年5月，根据安标委专家的意见和建议，修改完善标准草案，形成了较为成熟的《信息安全技术工业控制系统风险评估实施指南》草稿。3、2016年6月，参加安标委2016年第一次会议周的标准推进会。2016年6月，在安标委2016年第一次会议周的标准推进会会议上，标准工作组向安标委专家汇报了《信息安全技术工业控制系统风险评估实施指南》标准研制进展和研制成果，听取了专家的意见和建议。2015年6月-2016年7月，根据安标委专家的意见和建议，修改完善标准草案，形成了《信息安全技术工业控制系统风险评估实施指南》征求意见稿。标准编制原则本标准的研究与编制工作遵循以下原则：充分吸收已有国内外工控信息安全相关标准。本标准在编制过程中充分参考、吸收了国际国外标准化组织提出的工控安全先进标准，包括：IEC62443、NISTSP800-53、NISTSP800-82等系列标准，以及我国国内法律法规、政策、文件和相关标准等资料，确定该标准符合国家有关主管部门开展工控系统信息安全风险评估，工控用户企业开展风险评估的工作需要。标准编制具备通用性、可操作性、实用性等原则。本标准立足于当前工业信息化技术水平，参考国外先进标准，对国内外工控系统分类方法进行总结、归纳、简化，同时针对工控系统特点，开展风险评估，具备较强的通用性以及良好的可操作性和实用性。为工控系统信息安全管理、检查以及工控信息安全保障能力建设工作提供了坚实基础。有关技术说明本标准根据风险评估过程中要充分考虑工业控制系统的特殊性和不同等级的安全要求，认真梳理工业控制系统的资产，从环境和人为因素分析工业控制系统面临的威胁，从技术和管理方面分析工业控制系统存在的脆弱性，结合现有安全措施，分析工业控制系统现存风险，平衡效益与成本，制定风险处置计划，将工业控制系统的残余风险控制在可接受的水平。标准中第4章提出工业控制系统的示意图、标准目的、目标和风险评估实施框架流程。风险评估实施流程主要介绍风险要素关系，风险分析原理，及工作形式。第5章风险评估实施主要介绍了风险评估实施工作从的实施准备工作、资产识别、威胁识别、脆弱性识别、威胁利用脆弱性的关联关系、风险分析等方面进行。第6章风险评估实施在工业控制系统及相关系统生命周期中的不同要求，将工业控制系统生命周期分为规划、设计、实施、运维和废弃等阶段。根据不同的阶段的特点有所侧重地进行风险评估实施。第7章主要介绍风险评估实施使用具体方法。对工业控制系统进行风险评估的测试和其他领域的测试一样包括验证测试和确认测试。具体的测试将基于工业控制系统存在的脆弱性进行。工业控制系统该标准用到的风险评估的测试方法主要有四种，包括：文档审查、现场访谈、实验室测试评估和现场核查。将比较四种评估方法，并总结具体评估中方法选取的建议。附录A中中提供了“工业控制系统基本情况记录表”“资产记录表”等记录表格，附录B中提供了部分现场访谈记录核查表。与有关的现行法律、法规和强制性国家标准的关系本标准是贯彻落实《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)、《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)和国家网络安全法的重要基础。同时，本标准与制定中的《工业控制系统安全程序开发指南》、《工业控制系统安全管理基本要求》、《工业控制系统信息安全检查指南》、《工业控制系统安全分级指南》、《工业控制系统安全控制应用指南》等相关工控系统信息安全标准协调一致，提供了工控系统信息安全领域的实施层标准指导。本标准符合我国现行的法律、法规以及国家政策，可以与现有国家标准配合使用。重大分歧意见的处理经过和依据本标准编制过程中未出现重大分歧，其他详见标准意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准提供了可用于工控系统的风险评估实施指导，指导相关机构对工控系统的风险评估工作。同时，作为国家工控系统信息安全相关标准的一部分，可以配合实施。其他事项说明本标准可以配合工